一场特斯拉(NASDAQ:TSLA)车展维权行动,掀开了智能汽车安全隐患大幕的一角。
4月19日的上海车展开幕日,一位身穿“刹车失灵”字样T恤的特斯拉车主来到展台,针对一起“刹车踏板僵硬、很难踩动”导致的车祸维权抗议。此后,特斯拉公布事发前的部分数据,显示制动系统未见异常;而车主怀疑软件原因致使“刹车失灵”,但软件数据未见公布。截至发稿,双方仍就事故原因、解决方法等僵持不下。
▲ 2021年4月19日一位身穿“刹车失灵”字样T恤的特斯拉车主在上海车展特斯拉站台维权抗议 图片来源:网络
特斯拉安全吗?智能电动汽车安全吗?这一话题引发广泛舆论关注,随着智能电动汽车的普及,回答并解决这些问题有着极强的现实必要性。
“和传统汽车相比,智能网联汽车的电子电气网络架构非常复杂,电子电气设备数量和软件代码量的增多,导致安全风险点的增多。”中国汽车工业协会秘书长助理兼技术部部长王耀对出行一客表示。
当今的智能汽车具有多达150个ECU(电子控制单元)和大约1亿行代码,到2030年,预计将有大约3亿行代码——作为对比,一架客机约有1500万行代码,一架现代战斗机约为2500万行,大众市场个人电脑操作系统接近4000万行。
复杂的电子电气架构和算法逻辑,加之多变的外部环境,导致智能汽车的软件故障毫无规律可言,仿佛回到了早些年电脑时不时“蓝屏警告”的时代。而且安全隐患不仅在汽车自身,也在汽车全生命周期和各类基础设施上。
还有电磁干扰问题。智能电动汽车的出现,使得做好各项元器件的电磁兼容的难度几何倍提升,唯有通过大量的试验和检测,才能在无数数据的支撑下将安全隐患降到最低。
黑客攻击的风险也令人担忧。“因为联网,智能汽车从原来的信息孤岛变成了一个信息节点,数据风险大致分为三类:黑客攻击影响行车安全,传感器侵犯车内车外隐私,和扫描车周围环境影响国家安全。”出行一客从清华大学学科办主任、车辆与运载学院创院院长杨殿阁处了解到。
这些因素都给检测和监管提出了难题。咨询公司麦肯锡《汽车网络安全挑战》报告显示,汽车行业的网络安全标准和法规相对其他IT领域较为滞后,留有死角。
华东理工大学法学院特聘副研究员、上海申浩律师事务所律师王鹏鹏对出行一客表示,智能汽车的自动驾驶技术等处在“算法黑箱”的状态。无论是自动驾驶还是其他功能,要探究其中出了什么问题,需要进入到代码的执行层,但有一些代码和算法是车企、服务商的商业秘密,难以泄露。如果是传统的机械故障,打开检查毫无问题,但智能汽车在这一方面仍处“黑箱”。
5月6日,特斯拉宣布正在开发线上信息系统平台,以供车主查询获取车机交互数据,预计年内上线。
“特斯拉真的刹车失灵吗?”
这是近期不少特斯拉销售都收到的客户疑问。出行一客了解到,以北京侨福芳草地门店为例,进店人数和此前差不多,但是出于安全担忧,持币观望的人多了,成交量有所下降。
2021年以来,疑似特斯拉“刹车失灵”导致的事故被曝出多起,尽管最终调查结果未出,各方责任未确认,但公众担忧已经传播开来。
上海车展的维权事件激发了更多涉及特斯拉的事故浮出水面。4月20日深夜,青岛网友“煊达你达哥”发文称,今年1月4日,他开着特斯拉去充电,路上刹车踩不动,差点撞上前车,幸好他猛打方向盘,才逃过一劫。然后往后倒的时候,刹车又踩不动了,幸亏当时车速很慢,最后非常缓慢地撞在停车桩上。
4月21日,广州增城警方通报了一起交通事故,4月17日22时许,在增城区东江大道北,车辆失控发生碰撞,导致一人当场死亡。网传画面显示,一辆特斯拉轿车从一辆行驶的轿车后方超车过程中,撞击到路边水泥桥体,该车后来燃起大火,车体被严重烧毁。
5月7日,广东省韶关市公安局通报,一辆小型货车被一辆特斯拉轿车追尾碰撞,造成后者驾驶员当场死亡,事故原因正在调查中。
特斯拉在美国也同样面临严重的安全危机。当地时间4月17日晚间,一辆特斯拉Model S在德克萨斯州的道路行驶时撞树引发火灾,最终导致两名乘客死亡。警方确认驾驶位上无人,引发自动驾驶致死的争议。当前警方已成立专门调查小组。
今年稍早时,特斯拉发起史上规模最大的召回,在全球召回了近13.5万辆汽车, 其中在中国召回36126辆Model S和Model X。
追踪特斯拉事故的网站TeslaDeaths.com统计,截至5月7日,全球涉及特斯拉车辆的车祸已导致181人死亡,其中6人涉及AP(Autopilot,自动辅助驾驶)或FSD(Full Self-Driving,完全自动驾驶)。2021年以来共发生17起事故,致23人死亡。(见下图表)
出行一客从国内某头部险企相关人士了解到,近期保险公司正在和汽车行业广泛接触,以评估智能汽车的安全风险,为保费调整做准备。
保险公司担心,以前汽车的理赔风险是独立、分散的,但智能时代带来的挑战是,假设某汽车品牌如特斯拉的软件宕机,或将导致所有路上该品牌车辆全部趴窝,而且未来趋势是,多个汽车品牌的软件可能由一个或某几个公司供应,后者的故障可能导致更大范围的汽车理赔风险。
特斯拉刹车失灵的报道铺天盖地,真相仍藏在水面之下,但不论如何,软件定义汽车时代,汽车产品极大程度上提升驾驶乐趣的同时,确实也有更多安全隐患。
“越来越复杂的电子电气架构和算法逻辑被引入汽车,传统机械结构下确定的因果关系被改变,汽车的决策机制逐渐由软件、算法主导。”同济大学汽车学院人车关系实验室负责人龚在研对出行一客表示,一些在最初设计的时候没有预料到的情况,比如天气、地面附着力稍微有些变化,可能都会对软件算法有预想不到的干涉。这样干涉的规律不易总结,也很难复现,但的确会带来一些不确定性。
软件故障毫无规律可言,仿佛回到了早些年电脑会时不时“蓝屏警告”的时代,且即便是现在,手机、电脑也偶尔会有因“程序无响应”被迫关闭的场景。于汽车而言,软硬件的适配更为复杂,决策和算法堪比人脑神经网络,这样的“无厘头”故障既可怕又往往无从应对。
一位国内自主品牌研发工程师向出行一客表示:“汽车是一个移动的载体,从高原到沿海、从零下50度到地面温度60度,都要纳入考虑范围。车企的底蕴很大程度上就是丰富的数据积累、检测手段和经过检验的失效处理办法,这是新造车势力短时间内难以赶上的。而新造车势力恰恰是智能汽车的主力军,可靠性很难得到认同,哪怕顺利通过了百万次,在一百零一次的时候,也无法作出百分百的承诺。”
在2020年美国《消费者报告》中,特斯拉可靠性排在了倒数第二,这也是新造车势力的通病。
更为危险的是,目前的自动驾驶还不成熟,消费者对于如何使用智能驾驶、受到哪些限制,往往并不能正确理解,厂家在大肆宣传不成熟的自动驾驶功能时,会让消费者对汽车功能产生误解。这样的误解,代价很可能就是生命。
例如,Autopilot一直是特斯拉对外宣称的最大卖点之一,但所谓Auto(自动),其实仍然需要人类介入,近年来因该技术造成的恶性事故高发,多起事件来源于车主对其自动驾驶技术过分信任。
研究自动驾驶的头部科技公司Waymo表示:“需要人类介入的自动驾驶就是谋财害命”,其主要问题在于开启Autopiot功能时人类会过于依赖这项技术,“当车辆退出自动驾驶模式,提醒驾驶员接管车辆时,他们很难接管汽车,因为他们已经失去了情景感知能力。”
2021也被称作高阶自动驾驶量产的元年,即L2向L3全面过渡,但事实上,L3级自动驾驶既受技术限制,即还不能完全达到L4级别的完全“脱手”、“脱眼”水平;也受法律法规限制,接管过程中发生事故如何进行责任界定还没有相关法规,是一个对消费者最为危险的智能阶段。
“如果要让车主在一定环境下免除责任,可能就需要政府去主导,比如在某些测试路段,汽车满足需求,可以在L3的状态下行驶,但现在看来,企业对于技术突破的规划较为激进,节奏快于政府的规划,二者协同可能遇到挑战。”龚在研对出行一客表示。
很显然,即将到来的L3级智能驾驶时代,智能技术可靠性并不成熟,处于当年计算机高频蓝屏时代,但习惯了传统汽车高可靠性的消费者往往过于自信,一旦软件无厘头故障,后果往往是消费者无法承担的。
软件定义汽车时代,汽车某些功能的瞬间失效充满了不确定性,但真正溯本逐源,又往往有迹可循。然而即便知其所以然,当下可能也无计可施。
以自动驾驶感知领域为例,目前成就最高者仍是特斯拉,但其主要采用多摄像头的视觉感知技术,辅助以单个长距77GHz毫米波雷达融合的方案(即以摄像头为主),已经开始被业内广泛质疑。
人类仅靠视觉就能行动自如,但车辆只依赖摄像头,能不能达到人眼的效能,获取的信息是否足够支撑判断——很多研发团队对特斯拉的自动驾驶系统的测试结果显示,其感知和决策能力并不可靠。
一名海外的大学生的团队在一项测试中发现,投影到道路上的人形图像可导致特斯拉Model X减速。而在地面投射假车道标记会使Model X暂时忽略道路的物理车道线;另一个研究团队近日发现,在一段广告视频中插入不到一秒的禁止通行的交通标志,也可以让特斯拉AutoPilot捕捉到,并做出刹车的决策。
不难看出,通过摄像头完成的二维图像识别,很大程度上导致特斯拉自动驾驶系统做出错误判断。多位业内人士认为,对于已遥遥领先的特斯拉而言,改变感知上以视觉为主的技术路线,等于对自身逻辑的全盘否定,只能在旧有路线上不断探索,追求一个让摄像头媲美人体视觉的理论可能性。
同济大学汽车学院人车关系实验室汽车专家王小斌告诉出行一客,如果特斯拉真的能做到汽车的摄像头与人类的感知判断相同且算法足够强大,理论上靠视觉方案就能实现全无人驾驶。“出发点是正确的,但机器真的能完全像人类一样去观察和思考吗?现在的难点是,如果只依赖摄像头能不能达到人眼的效能,获取的信息是否足够支撑判断。”
此外,不少智能汽车功能的瞬间失效,回溯原因,往往由电磁干扰造成。
一位大型汽车供应商研发工程师对出行一客举例,一台具备高性能ABS系统的中高档汽车,在雨刮器工作、车辆达到某一运行速度时,ABS系统会同然失效。原因就是雨刮器驱动电机是感性负载,在切断电源时会产生反向电流并通过电源线传输到供电系统中,从而在电源系统中产生干扰脉冲,使一些电子部件不能正常工作,甚至损坏。
这是最为常见的汽车内部电子元器件之间的干扰。ABS灯亮、气压泵指示亮、码表不工作、雨刮器自动工作、大灯自动亮等故障,都可能来自电磁干扰。
随着汽车的智能化、网联化水平越来越高,汽车内的传感器和电子设备越来越丰富,如何有效的防止元器件之间的电磁干扰,成为所有车企的一项新痛点。同时,智能网联时代,车与外界的交互,也变得极其频繁,汽车对外界电磁环境的抗干扰能力也变得尤为重要起来。
2019年6月和2020年6月,工信部都发出通知,《关于开展新能源汽车安全隐患排查工作的通知》,要求各新能源汽车生产企业当年10月底前完成本公司新能源汽车安全隐患排查工作。
今年初江西都市频道报道,一位特斯拉Model 3车主在使用特斯拉官方超级充电桩时,突然断电无法启动,主屏上全是故障码。特斯拉回应称,故障原因是充电瞬间电流过载,国家电网电流太大。
这一“甩锅”在业内引起了不小的反响,也被国家电网连夜硬气回应。前述工程师认为,电网本身不太可能存在问题,最大的可能是,电网的电磁环境干扰了特斯拉的正常运行,这也反映出特斯拉在抗干扰能力上的不足。
此前已有不少报道,当电动车在野外途径雷达站或者短驳站时,会突然熄火不能运行,通过该区域之后车辆又能正常行驶,这就是典型的外界电磁干扰。
电磁干扰的原理并不复杂,但智能电动汽车的出现,使得汽车做好各项元器件的电磁兼容难度成几何倍提升,唯有通过大量的试验和检测,才能在无数数据的支撑下,不断降低故障率,将安全隐患降到最低。
智能汽车作为行走的电脑,除了本身的各种“蓝屏”故障外,也难逃另一属性的风险——黑客。一旦智能汽车的网络安防不足,被黑客攻击、远程操控,后果将不堪设想。
《速度与激情8》中,反派查理兹·赛隆为了抢夺核武器发射装置,黑入了无人车队的智能驾驶系统,上千辆无人车被控制成为“僵尸车”军团。而在现实中,无人车、智能网联如何保障信息安全、抵御黑客攻击也是讨论的热点。
2016年9月21日,腾讯安全科恩实验室以远程无物理接触的方式成功控制特斯拉汽车,破解成功后可以将特斯拉的中控大屏和液晶仪表盘更换为实验室Logo;此后,该团队再度破解特斯拉ModelX系统,远程控制刹车、车门、后备箱,操纵车灯以及天窗。
该研究团队通过Wi-Fi与蜂窝连接两种情况下均实现了对车载系统的破解,通过汽车的网络浏览器来触发计算机漏洞,发送恶意软件,实现黑客攻击。在特斯拉之外,2018年该团队在宝马多款车型中发现了14个安全漏洞,随后向宝马报告了这些问题,并获得全球首个“宝马集团数字化及 IT 研发技术奖”。
“从攻击对象来讲,在2020年之前,服务器、无钥匙进入、移动APP等等都是核心的攻击点,随着无人驾驶和智能驾驶的推进,我们认为在驾驶领域的潜在风险会急剧增加。”罗兰贝格合伙人袁文博对出行一客表示。
《车联网网络安全白皮书(2020年)》数据现实,2019年,网络安全问题导致的汽车安全事件占比高达57%。
一旦进入与黑客相关的领域,就已经不再是汽车企业可以独自解决的问题了。4月26日,造车新势力哪吒汽车宣布启动约约30亿元的D轮融资,由360战略领投此轮融资,完成投资后,360有望成为哪吒汽车的第二大股东。这可作为对未来汽车网络安全未雨绸缪的一个例证。
这也印证了此前业内的一个统一观点,自动驾驶不仅受到云服务、网络、数据、计算机、人机界面、控制系统执行等各种技术层面的制约,还牵扯到安全、法律法规、消费者信任等诸多掣肘,没有任何一家公司可以独立完成自动驾驶的研发。
种种安全隐患下,可以断言当前所有的智能电动汽车都是半成熟品。但人类对智能驾驶体验的需求,又不可能使得产品绝对成熟后再投放市场。
为此,在特斯拉开OTA(空中下载)先河后,OTA已经成为几乎所有车企处理智能汽车半成熟功能的解决方案。即通过硬件预埋,主机厂可以在数据收集、软件算法编写还未完成时,就抢先推出车型,后续再通过OTA进行升级,也就是互联网行业常说的“小步快跑、快速迭代”。
从商业模式来看,通过软硬件分离,可实现了硬件生命周期的最大化,并为后期的付费软件包、功能付费解锁等创造更大利润空间。但车企把相对不那么可靠的产品先推到车上,再通过OTA升级打补丁,本身必然存有安全隐患。
此前,已有OTA升级系统故障导致大量汽车“趴窝”的案例。不过由于由于升级过程中汽车始终处于静止状态,本身并不会带来太大风险。但这并不意味OTA就是安全的,而且还将带来整车企业该对哪一个版本汽车负责的伦理问题。
“有了OTA升级功能后,默认规则是车企可以将一个没有100%成熟的系统或者功能装到车上,有什么不足后面再升级。传统车企的思想是交付的那一刻,给到的一定是一个成熟、完备的产品,从舆论和道德上看,智能汽车的车企会面临更小的压力。”龚在研对出行一客表示。
“目前电动车事故的第三方检测,大部分只能对物理层面的事故做鉴定,很多软件都是加密的,拿不到数据。合同里面基本都是只保证检测重大事故、火烧泡水等等,软件层面的情况会事先讲清楚。”江苏南京的二手车评估师王浪对出行一客表示。
市场上大部分机构缺乏对于智能汽车的检测能力。在特斯拉车展维权事件上,车主和特斯拉在事发两个多月后仍然对事故原因各执一词,至今没有第三方鉴定机构做出有可靠证据支撑的结论,也是智能汽车检测难题的一个缩影——中国质量认证中心是被郑州市郑东新区市场监督管理局建议的检测机构,但尚不具备对有自动驾驶功能的事故车辆进行检查鉴定的能力。
4月20日,中国质量认证中心在官网发出通知,宣布基于自行研发的《高级安全辅助驾驶汽车整车行驶安全综合测试评价规范》等标准,推出高级安全辅助驾驶汽车认证业务。就此出行一客致电咨询,工作人员表示这是针对车辆出厂前的批量认证,不是事故发生后的第三方检测,只面向企业用户。
“智能汽车的车辆动态控制系统,绝大多数车企除对本车企内部体系(含4S店)有限开放外,对外全部设置了防火墙进行封堵,尤以特斯拉做得最彻底。”中车检机动车检测技术(集团)有限公司董事长、中国汽车流通协会二手车鉴定评估师分会会长王旭东对出行一客表示。
不过王旭东认为,检测机构并非无计可施,可以用最前端的传感器来采集其即时的动态与静态原始数据,通过专业技术人员与检测系统,分析车辆问题。比如博世iBooster刹车系统的数据,可以从轮速传感器上采集,不一定只能从特斯拉系统上采集。但如果车企能把这些本该属于车主的数据真实、全面地告知车主,再转达给检测机构,这将是最好最快地解决问题的办法。
王耀对此表示认同,汽车检测机构已在做相应的能力建设工作,后续有能力在企业不开放算法和核心逻辑的情况下,对智能汽车的安全性进行检测与评价。他同时援引4月初工信部发布的“智能网联汽车生产企业及产品准入管理指南”,其中明确提出了智能汽车的检测架构,相关测试标准也都将陆续发布。
针对智能汽车尚无统一的国家标准。2020年,工业与信息化部发布《2020年智能网联汽车标准化工作要点》,提出要加快完善智能网联汽车标准体系建设,建立智能网联汽车标准制定及实施评估机制。
当前进展最快的国标是《信息安全技术 车载网络设备信息安全技术要求》,对车载网络设备的信息安全防护能力提出要求,但出行一客留意到,这是国家推荐性标准而非强制性标准,并且处于征求意见阶段。
至于受到广泛关注的数据安全,广州市公安局电子数据检验鉴定实验室的冯聪撰文表示,公安机关可根据《网络安全法》中关于实行网络安全等级保护制度规定,指导和督促本地车企依法开展等级保护测评,完善车载数据安全防护,保障系统健康发展。公安部第三研究所于2018年组织了“车联网网络安全等级保护测评研讨会”,全国各地公安机关网安部门正大力推进车联网相关系统的等级保护测评。
冯聪认为,应当从维护车联网信息系统安全、车载上网卡实名登记、车载无线热点管理、车机系统上网行为管控、涉案车辆电子数据取证等方面,做好网络安全治理、信息安全管控、侦查取证执法等方面的工作。
针对当前的监管困境,王耀对出行一客建议,为了降低智能网联汽车的安全风险,行业首先应积极进行国际交流,吸收各主要汽车国家已积累的宝贵经验,其次政府应积极推动企业和第三方中立检测机构共同合作,明确智能网联汽车相关安全测试验证的测试规范,量化测试评价指标,有效指导企业进行智能网联汽车的研发和生产。
至今没有证据表明特斯拉存在安全隐患。
由于中国的多起事故尚未形成结论,目前可做参考的是美国国家公路交通安全管理局(NHTSA)在2020年开展的一项调查。
该机构未发现特斯拉车型存在安全问题,246桩意外加速事故均由踏板使用不当造成,“没有证据表明,油门踏板总成,电动机控制系统或制动系统,存在任何导致了上述事件的故障。” “没有证据表明,设计因素会增加踏板误用的可能性。”
特斯拉发布的2021年一季度安全报告显示,在Autopilot自动辅助驾驶参与的驾驶活动中,平均每674万公里行驶里程报告一起交通事故。而NHTSA的最新数据显示,美国平均每78万公里行驶里程即发生一起碰撞事故—— 674万公里对78万公里,这就是CEO伊隆·马斯克(Elon Musk)口中的自动辅助驾驶事故率只有1/10。
但公众的担忧非常深刻和广泛。对于企业来说,如何打消忧虑,是超越技术层面的更加复杂的议题——这并不是特斯拉所擅长的。
特斯拉中国的公关专业性饱受公众质疑。本次车展维权事件的发酵,正是特斯拉一开始对外的强硬表态,引发了更大规模的舆论风暴。
▲ 2021年4月19日,特斯拉公司副总裁陶琳
车展维权事件爆发的两个小时后,陶琳接受出行一客独家专访,认为其诉求不合理,“不可能妥协”。她的这一回应,招致涉事车主、一般公众乃至官方媒体的批驳,表示也“不妥协”。
随着舆论不断发酵,特斯拉的态度从强硬到道歉,从周一的“不会妥协”到周二的“道歉与自我检讨”,到了周三晚上,特斯拉表示“正在配合监管部门的调查”。事发一周后的4月26日深夜,特斯拉在微博上放出了各地车主为门店员工送奶茶的照片,对车主在困难时刻的支持表示感谢,反遭网友讽刺,“你们到底有没有人懂公关啊”。复旦大学中文系教授严锋批评,这是一篇失败的公关文示范。
特斯拉在美国据说已经裁撤了公关团队,由马斯克本人通过推特直接负责特斯拉对外传播。从4月19日到记者发稿的数日间,他讨论了SpaceX、太阳能储能等话题,但对近期在中国的争端缄口不言。
尽管问题重重,马斯克并不想改变特斯拉的公关现状。4月28日他在回复一条“特斯拉能否考虑雇佣公关专员”的评论时,写道:其他公司花钱在广告和操纵公众舆论上,特斯拉则专注于产品。我相信人民。
一位已离职的特斯拉中国公关负责人对出行一客透露,马斯克一向认为产品如果足够好,根本不需要营销。目前特斯拉中国对外事务负责人陶琳原本不负责公关,主要做政府关系兼任公关,自2016年特斯拉中国没有总监级以上的公关负责人。
和以往车企花大笔营销费用于销售和广告不同,特斯拉素以营销开支小著称。2019年财报显示,大众汽车集团(不含奥迪、兰博基尼)以1620.45亿元的营销费用位列汽车行业第一,特斯拉的支出是1.86亿元,仅为大众集团的千分之一,远低于行业平均水平。
出行一客从接近特斯拉中国的消息人士了解到,特斯拉在华没有公关广告预算,2020年仅有两位公关专员分处北京上海,2021年初刚刚增加到六人,这与其他车企的庞大公关阵营有明显落差。
大规模召回是所有大型汽车企业都走过的路,就算仅在造车新势力阵营里,特斯拉也不是唯一陷入过安全危机的车企,蔚来、威马、理想等车企都曾因产品质量问题发起召回。但企业处理方式的不同,影响了公众的口碑,特斯拉显然被自己的服务所反噬。
国产化一年多以来,特斯拉共被约谈两次。2021年2月8日,市场监管总局与中央网信办、工业和信息化部、交通运输部以及应急管理部消防救援局等五部委宣布,就消费者反映的异常加速、电池起火、OTA等问题,共同约谈了特斯拉。
2020年3月10日,工业和信息化部装备工业一司针对Model 3车型部分车辆违规装配HW2.5组件问题约谈了特斯拉,并责令其按照《道路机动车辆生产企业及产品准入管理办法》有关规定立即整改,确保生产一致性和产品质量安全。
“车企决不能一直拖着不解决,或自己当裁判员。”王耀对出行一客表示,车企应依据法律要求,及时提供有效证据,通过专业的方式进行检测认定,采取务实的举措解决消费者的合理维权诉求。
车展维权事件尚未有定论,但结论无非两种,一是特斯拉质量问题真实存在,接下来就是赔偿以及召回;二是特斯拉没有实质安全问题,更多是一起口碑风暴,但其中反应出的服务问题以及潜在的安全隐患,也值得这家明星外企深思。